fbpx

情報セキュリティにまつわる
お役立ち情報を発信

「個人情報保護対策」について・2【Pマーク取得の基礎知識】

情報管理課の古橋でございます。

今回の内容は前回に続き「個人情報保護対策」についての内容です。

先日お話しした「物理的対策」「人的対策」に続き、本日は残った
・技術的対策
・組織的対策
の二点についてお話しします。

まずは「技術的対策」です。

こちらは「技術的安全管理措置として講じなければならない事項」として、下記のようにまとめられています。

 

技術的安全管理措置として講じなければならない事項

①個人データへのアクセスにおける識別と認証
②個人データへのアクセス制御
③個人データへのアクセス権限の管理
④個人データのアクセスの記録
⑤個人データを取り扱う情報システムについての不正ソフトウェア対策
⑥個人データの移送・送信時の対策
⑦個人データを取り扱う情報システムの動作確認時の対策
⑧個人データを取り扱う情報システムの監視

パッと見てピンと来ないものもあるでしょうから、補足します。

 

「技術的対策」について

まずは①~③ですが、こちらはアクセスの認証の管理が大切となります。

アクセスの認証に用いるものとして真っ先に挙げられるのがIDとパスワードです。

ほかに社員証等に使われている磁気カードやICカード、指紋や網膜で識別する生体認証も同様ですね。

生体認証はまず大丈夫でしょうが、ID・パスワードの紛失や漏洩、カードの紛失などに気を付ければ①~③の対策は取れていると言えるでしょう。

続いて④⑤の前に⑥です。

こちらはデータそのものに関する対策です。

個人データの入ったファイルを送信する際の暗号化がまず挙げられます。

送り先を間違えたりファイルを流出させてしまった際の対策となります。

また、データのバックアップを管理することもこちらの⑥に含まれます。

データのバックアップ以外にデータの流出を防ぐセキュリティソフトの導入やセキュリティパッチのアップデートも同様です。

最後に先程抜かした④⑤、それに⑦⑧の四つの対策です。

こちらは個人データへのアクセスログを取得することが大切です。

取得するだけでなくアクセスログの分析や保管も重要です。

どこからアクセスが来ているのかを保管して分析することで立てられる対策もあるからです。

以上が技術的対策です。

 

「組織的対策」を見ていきましょう。

 

lgi01a201310171400[1]

 

こちらも技術的対策と同様、下記のようにまとめられています。

 

組織的安全管理措置として講じなければならない事項

①個人データの安全管理措置を講じるための組織体制の整備
②個人データの安全管理措置を定める規程等の整備と規程等に従った運用
③個人データの取扱い状況を一覧できる手段の整備
④個人データの安全管理措置の評価、見直し及び改善
⑤事故又は違反への対処

 

「組織的対策」について

組織レベルの①体制整備から始まりそこから②体制の運用、④評価や改善とひとつの流れになっていることがわかります。

それだけでなく、個人データをどのように扱っているかを確認する方法の設備や事故や違反への対処、つまり③と⑤も行うことで組織的対策が取れていると言えます。

各項目について、代表的なものをいくつか挙げていきます。

①に関してはまずCPOの設置が挙げられます。

CPOとは最高個人情報責任者のことです。

絶対にCPOが必要というわけではありませんが、個人情報保護管理者の設置はしておくと良いでしょう。

CPOや個人情報保護管理者の管理のもと、個人データの取り扱いについてどの部署にどのような役割や責任があるかを明確にしておくことが重要です。

次の②は規定の整備や運用ですが、こちらは例えば個人データを取り扱う場所の安全管理が挙げられます。

個人データが持ち出されやすい場所にないか、保管場所にキーロック、データファイルならアクセス権は絞り込んでいるか…などですね。

物理的対策と似たような話ですが、保管場所の入退室の記録やアクセスログ等を保持しておくのが良いでしょう。

③については、読んで字の如くですね。

②で出てきた入退室の記録やアクセスログ、こちらを見やすく整備してあればOKです。
定期的に中身を確認するとなお良いです。

次に④は、①~③全てにかかわることです。

①~③で何を行うかを計画・実施し、行ったことが間違いでないかを確認し、より良い方法はないかをまとめることです。

必要なところには順次修正を加え、組織的対策をより万全にしておくことが肝要です。

最後に⑤です。

事故や違反が起こらないようにすることは重要ですが、起こった後の処理も重要です。

こちらは事実関係や再発防止策の公表が第一です。

「事実調査をして原因の究明を急いでいる」なんてフレーズをニュースで聞きますが、⑤はまさにそれです。

 

まとめ

いかがでしたでしょうか。

今回は個人情報保護対策の「物理的対策」「人的対策」についてご説明いたしました。

組織的対策を万全にし万が一起こってしまったときにの処理についてもしっかりとした対策を立てておくことが重要です。

個人情報保護対策についての話は前回と今回で終了となります。

Pマークに関するこちらの記事もおすすめです!
【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】

 

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る